Aj slovenské automotive spoločnosti majú medzery v oblasti informačnej a kybernetickej bezpečnosti. Jeden hekerský útok ich pritom môže stáť aj miliardu dolárov. Odhaduje sa, že v najbližších piatich rokoch prídu svetové automobilky v dôsledku útokov o viac ako 20 miliárd dolárov.
Predstavte si, že idete v aute po diaľnici a nemôžete zabrzdiť. Pred jazdou nič nesignalizovalo, že by mali byť brzdy pokazené. Vy sa už možno nikdy nedozviete, že za vašou nehodou stáli hekeri. Nemusí ísť pritom o žiadnu fikciu.
V roku 2018 sa prvý krát otočil trend úspešnosti útokov na systémy v automobiloch v prospech takzvaných Black Hat, teda zločineckých hekerov. „Do roku 2017 boli v počte útokov úspešnejší White Hat, teda etickí hekeri, ktorí testujú odolnosť voči kybernetickým útokom a snažia sa o zvýšenie bezpečnosti automobilov,“ vysvetľuje Igor Straka zodpovedný za cyber security v spoločnosti TÜV SÜD Slovakia.
Ide im hlavne o prevzatie kontroly
Black Hats spravili vlani až 30 úspešných útokov na vozidlá. Pritom jeden útok môže stáť automobilku aj miliardu dolárov. Odhady hovoria, že v najbližších piatich rokoch spôsobia kybernetické útoky automobilovému priemyslu stratu až 24 miliárd dolárov. „Mimo finančných rizík je nevyhnutné si uvedomiť, že kybernetický útok môže ohroziť život vodiča, cestujúcich ale aj chodcov a iných vodičov a posádky na ceste. Táto hrozba sa týka všetkých automobiliek,“ upozorňuje Igor Straka.
V dnešných autách je viac ako sto počítačových systémov. A každý systém má v sebe aplikácie s tisíckami až miliónmi programových riadkov. „Každá aplikácia môže mať zraniteľnosti a pri pripojení na internet je to výzva pre hackerov,“ konštatuje Igor Straka. Hekerom stačí dostať sa do jedného systému a cez neho na interné prepojenia ostatných systémov.
Až 28 percent útokov je pritom zameraných na prevzatie kontroly nad vozidlom. Ukradnúť auto je cieľom 22 percent útokov. „Ďalšie záujmy sú zneužitie údajov, sledovanie vozidla alebo krádež cenností,” vymenúva Igor Straka.
Nemci už požadujú vyššie zabezpečenie
Jednen z najznámejších útokov na automobily je spred piatich rokov. Hekeri Charlie Miller a Chris Valasek dokázali kompromitovať Jeep Cherokee cez internet, vrátane ovládania bŕzd. Automobilka následne podala príkaz na stiahnutie z trhu a realizáciu bezpečnostných záplat u viac ako 1,4 miliónov vlastníkov.
Podľa experta majú aj slovenské automotive spoločnosti rezervy v oblasti informačnej bezpečnosti a kybernetickej odolnosti. Doteraz sa chránili len pasívnymi obrannými technickými opatreniami, ktoré mali byť zárukou bezpečnosti. „Doba sa však zmenila. Je potrebné sa zamerať na schopnosť okamžitej detekcie, reakcie a obnovy služieb po útoku, na čo aj reagujú požiadavky zákona o Kybernetickej bezpečnosti,“ hovorí Igor Straka.
Napríklad nemecký automobilový priemysel už dva roky požaduje takzvanú certifikáciu TISAX. Musia ju mať všetci výrobcovia, dodávatelia a obchodní partneri. „Čoraz častejšie sa to vyskytuje ako požiadavka aj v prípade slovenských automotive spoločností,“ dodáva Igor Straka.
Čo je TISAX
Trusted Information Exchange Assessment Security je definovaný v automobilovom priemysle ako štandard pre informačnú bezpečnosť. Ide o skúmanie súladu s TISAX, ktorý vykonávajú akreditovaní poskytovatelia certifikačných služieb ako napríklad TÜV SÜD Slovakia.
Ide však aj o ochranu klientskych údajov z pohľadu vnútorného alebo vonkajšieho útočníka. Kľúčová je tiež oblasť vývoja prototypov, dostupnosti výroby vzhľadom ku logistickým systémom, ako aj k bezpečnosti samotných vozidiel. Neoddeliteľná súčasť je ochrana osobných údajov v súlade s požiadavkami GDPR
